Professional Documents
Culture Documents
do atual do cenrio da
Segurana da Informao
1
1. ndice
2.Conceitos_________________________________________________________________________ 06
Consideraes Finais_________________________________________________________________ 37
2
1. Introduo
Ao olharmos ao nosso redor, conseguimos perceber como a
Tecnologia da Informao conquistou espaos e abrangeu
novos horizontes, apresentando solues, mudando nossos
hbitos, nosso modo de vida e a maneira na qual somos vistos
pela sociedade. ...a Segurana
da Informao
A Tecnologia da Informao um conjunto de conceitos, processos e ferramentas utilizados
tambm
para fazer o tratamento da informao, a fim de alcanar um determinado objetivo. A tendncia
que a tecnologia da informao seja cada vez mais importante em nossa sociedade, onde a abrange novos
informatizao de contedos diversos se tornou uma norma a seguir, assim como se manter horizontes...
atualizado com o que ocorre no mundo.
E isso no se isola apenas a vida pessoal, ela tambm uma parte importante que tm impactos
positivos no mundo empresarial, pois possibilitam melhorias a nvel estratgico e funcional,
capacitando a empresa a melhorar o seu processo de planejamento e a interagir com o seu
ambiente interno e externo de forma mais produtiva, garantindo assim um diferencial competitivo
sem precedentes.
3
Nessas possibilidades de novos horizontes que a tecnologia da informao nos proporciona, um
assunto no pode deixar de ser percebido: a segurana dessas informaes. Com os adventos da
globalizao, e com a intensificao do fluxo de pessoas, capitais, mercadorias e conhecimentos,
infelizmente aumentam-se os riscos de fraudes cibernticas, roubos de informaes e dos diversos
tipos de ameaas que aparecem diariamente, a segurana deve ser tratada com prioridade.
Diante dessa necessidade, surge a Segurana da Informao, que est diretamente relacionada
a proteo de um conjunto de informaes, assim como suas tecnologias, com o intuito de
preservar o valor das mesmas para um indivduo ou uma organizao. E assim como a Tecnologia
da Informao, a Segurana da Informao tambm abrange novos horizontes, disponibilizando
novas solues e maneiras de como essas informaes so tratadas.
O tema Segurana da Informao desperta interesse em vrios nveis hierrquicos dentro de uma
organizao pois abrange diversas reas, tais como: a infraestrutura tecnolgica empregada,
segurana fsica, suas aplicaes alm da conscientizao organizacional. E cada uma delas contm
suas vulnerabilidades e ameaas que a Segurana da Informao trata, minimizando o nvel de
exposio na qual a organizao est exposta.
4
2.Conceitos
5
Grande parte das definies de Segurana da Informao (SI)
que podemos encontrar atualmente so resumidas como uma
proteo a fim de proteger a informao do acesso no-autorizado
ou uso bem como a proteo contra a inacessibilidades dessas
informaes a usurios autorizados enquanto a integridade e a O nvel de
confidencialidade dessa informao esto preservadas. proteo deve
corresponder
E ela no se aplica apenas em meios computacionais e/ou eletrnicos, muito mais do que isso: ela
se aplica a todos os aspectos de proteo de dados ou informaes, independente de que forma
ao valor dessa
os mesmos so expressos. O nvel de proteo deve corresponder ao valor dessa informao e aos informao...
prejuzos que poderiam decorrer do uso imprprio da mesma.
Alm disso, a SI tambm cobre toda a infraestrutura que permite o uso dessas informaes, como
sistemas, processos, servios e afins.
Entende-se por informao todo e qualquer contedo ou dado que tenha valor para alguma
organizao ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao pblico para
consulta ou aquisio.
6
Atualmente o conceito de Segurana da Informao est padronizado pela normaISO/IEC17799:2005,
influenciada pelo padro ingls (British Standard)BS 7799. A srie de normasISO/IEC 27000foram
reservadas para tratar de padres de Segurana da Informao, incluindo a complementao ao
trabalho original do padro ingls. A ISO/IEC27002:2005 continua sendo considerada formalmente
como 17799:2005 para fins histricos. A partir de 2013 a norma tcnica de segurana da informao
em vigor : ABNT NBR ISO/IEC 27002:2013.
Disponibilidade garantia de que a informao esteja sempre disponvel para uso legtimo do
usurio e autorizado pelo proprietrio da informao;
7
Autenticidade garantia de que a informao proveniente da fonte anunciada e confivel, e
que no sofreu nenhum processo de alterao ou mutao durante o processo;
Conformidade garantia que o sistema deve seguir as leis e regulamentos associados a este tipo
de processo;
Para a montagem dessa poltica, leva-se em conta os riscos associados falta de segurana,
os benefcios e os custos de implementao dos mecanismos de proteo da Segurana da
Informao.
8
Perda de Disponibilidade: acontece quando a informao deixa de estar acessvel por quem
necessita dela, como por exemplo, o caso da perda de comunicao com um sistema importante
para a empresa, que aconteceu com a queda de um servidor ou de uma aplicao crtica para o
negcio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao
equipamento ou por ao no autorizada de pessoas com ou sem m inteno.
Hoje em dia podemos contar com diversos mecanismos de segurana da informao. Os suportes
para a recomendao da Segurana da Informao podem ser encontrados em dois controles:
Controles lgicos: so barreiras que impedem ou limitam o acesso a informao que est em um
ou mais ambientes controlados, geralmente eletrnico, e que, de outro modo, ficaria exposta a
alterao no autorizada por elemento mal-intencionado.
9
Existem mecanismos de segurana que apoiam os controles lgicos:
10
Honeypot: uma ferramenta que tem a funo de propositalmente simular falhas de segurana de
um sistema e colher informaes sobre o invasor fazendo-o pensar que esteja de fato explorando
uma vulnerabilidade daquele sistema. uma espcie de armadilha para invasores. O HoneyPot, por
si s, no oferece nenhum tipo de proteo, mas auxilia na deteco, identificao e neutralizao
do invasor ou pessoa m intencionada no sistema.
Protocolos seguros: Uso de protocolos que garantem um grau de segurana e usam alguns dos
mecanismos j citados anteriormente.
11
3. E como a
Segurana da
Informao
est hoje?
12
A Segurana da Informao teve seu pice atravs do crescimento
da rede mundial de computadores, porm, no foi a partir deste
crescimento que a necessidade da Segurana da Informao
surgiu.
A necessidade surgiu desde os anos 30, de princpio para proteger informaes governamentais de
carter blico, ou seja, as mensagens do exrcito passavam por um determinado conjunto de sinais e
caracteres na qual conhecemos como criptografia e endereadas apenas os generais envolvidos e
s pessoas autorizadas.
...as necessidades
Mesmo que no estejamos em guerra atualmente e ainda bem! as necessidades sobre a Segurana sobre a Segurana
da Informao aumentaram. Nossos dados esto espalhados pela internet, e se cruzarmos todos esses
da Informao
dados, podemos saber onde voc mora, o que voc pesquisa na Internet, o que voc compra, quais
os assuntos de interesse, quais locais voc passa, quais so seus assuntos de interesse e muitas outras
aumentaram.
informaes nas quais muitas vezes no nos damos contas que esto espalhadas por a.
Antigamente corramos o risco de ir ao banco, sermos assaltados em qualquer esquina e termos os nossos
bens levados, atualmente corremos o risco de termos nossas conexes interceptadas por um cracker e
nossas informaes sejam roubadas.
Da mesma forma que no devemos caminhar pelas ruas mexendo no celular, na carteira ou num tablet,
pois o risco de sermos assaltados maior, na Internet ou em quaisquer lugares que utilizemos nossas
informaes, devemos ter certos cuidados para minimizar os riscos e ter menos vulnerabilidades.
13
4. E em uma
viso mais
corporativa?
14
Todas as organizaes independente de qual mercado, do seu
tamanho ou quantidade de colaboradores que compem os seus
quadros precisam de um cuidado adicional, pois difcil contar
que todos os seus colaboradores faam bom uso das prticas e
polticas de Segurana da Informao.
por isso, as empresas devem contar com equipamentos e softwares mais robustos e melhorias
na poltica de segurana que sejam bem claras, definidas e acessveis para oferecer uma proteo
mais robusta. Com a digitalizao das informaes, surgiu a possibilidade do fcil arquivamento e Estamos na era
transporte e tambm a necessidade de uma boa gesto com cuidados redobrados com a segurana
desses dados. Alm dos backups de dados que devem ser mantidos em local diferente seja por onde a informao
conta de uma catstrofe ou eventualidade, para que os dados salvos permaneam intactos
de fcil acesso..."
necessria uma gesto para evitar que, principalmente os dados confidenciais, fiquem de posse
de pessoas no autorizadas.
Um fato que devemos conviver que, mesmo empregando todas as boas prticas, mantermos
nossos hardwares e softwares especficos para este fim atualizados, ainda assim no podemos
ficar plenamente seguros. H falhas, seja humana, seja por indisponibilidade, e com isso nunca
podemos contar que estamos totalmente protegidos, e nestes casos, sempre bom considerar
que o pior acontea, pois somente podemos minimizar os riscos de uma eventual pior situao
acontecer se conhecermos esses riscos. Estamos na era onde a informao de fcil acesso,
transporte, disseminao e armazenagem, e isso inclui riscos que antigamente no existiam,
portanto precisamos permanecer em alerta para que estas ameaas sejam minimizadas pois hoje
em dia h informaes que valem mais do que dinheiro e podem haver pessoas ms intencionadas
querendo obt-las.
15
5. Qual a
finalidade da
Segurana da
Informao,
afinal?
16
A finalidade da Segurana da Informao em prol da proteo
da comodidade que a tecnologia nos proporciona atualmente
seja profissional ou pessoal pois tudo est acessvel a ns a um
clique de distncia.
Assim como hoje podemos assistir aulas, fazer compras, pagar contas, alugar filmes, sem enfrentar
filas e perdas de tempo, corporativamente, podemos consultar dados, manter um data center ...a Segurana da
atualizado, ter uma infraestrutura e controle dos acessos das informaes, monitorar um trfego Informao atual
de dados em tempo real e muitas outras que antes no era possvel.
no se restringe
Em meios corporativos, a Segurana da Informao tem a sua finalidade e funcionalidade a apenas em algo
longo prazo, fazendo uma harmonizao de seus processos e tarefas crticas de negcio, com o
computacional.
intuito de amenizar os erros e no repassar informaes desnecessrias e/ou sem importncia.
Uma empresa que possui seus sistemas de informaes integrado, contendo quaisquer tipos de
informaes que sejam vitais para os seus processos internos, clientes, fornecedores ou quaisquer
stakeholders envolvidos, precisa ter um sistema integrado e automatizado de backup peridico,
firewall, sistemas de segurana fsica, lgica e pessoal, pois do contrrio, em caso de quaisquer
eventualidades de perder estes dados ou estes mesmos dados forem acessados por pessoas
indevidas, resultar em percas inestimveis informao e ao capital da empresa.
17
Como j dito anteriormente, a Segurana da Informao atual no se restringe apenas em algo
computacional. Muito pelo contrrio: engloba um nmero elevado de reas de atuao nas quais
so de suma importncia para a organizao. Entre estas reas de atuao, encontram-se as
seguintes:
Segurana de redes;
Segurana fsica;
Segurana de computadores;
Segurana do pessoal;
Segurana aplicacional;
Criptografia;
Formao;
Conformidade;
Se tivssemos que conceituar por base na sua evoluo e rpido crescimento advindo dos
avanos tecnolgicos que ainda estamos vivendo, a finalidade da Segurana da Informao
basicamente a proteo da integridade, confidencialidade e disponibilidade de um conjunto de
dados e informaes, de modo a preservar o seu valor para uma pessoa individual ou para uma
organizao. Esta informao pode ser de via digital ou no, aplicando-se, no entanto, as mesmas
caractersticas de proteo.
18
6. O Futuro da
Segurana da
Informao
agora!
19
Estamos vivendo exatamente no futuro da Segurana da
Informao. O que antes vamos em filmes e at considervamos
uma utopia, agora totalmente possvel graas aos avanos
tecnolgicos da Informtica e da Comunicao. No mais a
Atualmente, ferramentas de anlise de grandes Big Datas so cruciais para a segurana de
questo de se
empresas, pois elas permitem entender como os crackers implantam sistemas mais sofisticados possivelmente
para conseguir acesso a dados valiosos. O que estamos vivendo atualmente a criao de uma uma empresa
inteligncia de segurana, mas isso , realmente, apenas a ponta do iceberg. Para o futuro diga- ser violada e
se de passagem, que no est to distante necessrio ter mais inteligncia para lidar com todos
sim quando
os tipos de ameaas Segurana da Informao e tambm criar uma melhor cincia de dados.
ocorreria a
No mais a questo de se possivelmente uma empresa ser violada e sim quando ocorreria tentativa.
a tentativa. Por isso, h uma busca mais do que necessria para a deteco de possveis ataques
antes deles realmente ocorrerem. Violaes podem at serem possveis, mas necessrio ter uma
tecnologia de segurana da informao que possibilite trazer mais proteo e de forma mais
automatizada possvel.
20
Segurana da Informao est cada vez mais vulnervel, sendo que para cada ataque malicioso
preciso desenvolver uma nova soluo para bloqueio. Esse problema tem aumentado ainda mais
com a transformao digital e a necessidade de coletar grandes quantidades de dados, cadastros
e quaisquer tipos de servios personalizados que garantem nossa comodidade, seja no mbito
profissional ou pessoal.
O mundo nossa volta est mudando de maneira acelerada, e por certo, s possibilidades
oferecidas pela tecnologia. A chave prever o que est por vir e implementar uma estratgia clara
para assegurar que o seu negcio esteja sempre um passo frente.
21
7. Segurana
da Informao
no s papo
de T.I.
22
J se foi o tempo em que a rea da Segurana da Informao era
apenas um assunto de T.I. e seus profissionais. Antes, todos esses
cuidados sobre a nossa segurana digital no era diretamente um
problema nosso e sim dos profissionais e estudiosos da rea.
Ns no tnhamos nenhuma noo de que um dia a tecnologia iria avanar de maneira to acelerada
como avanou nos dias de hoje e ainda continua avanando em passos largos. Atualmente, a As pessoas
responsabilidade sobre todos os aspectos de segurana da informao agora assunto para todas
as pessoas que vivem na Era Digital, independente ou no de ser um profissional da rea de T.I.
esto usando
plataformas de
A premissa de que o futuro da Segurana da Informao est com o foco nas pessoas confirmasse,
uso de aplicaes
a cada dia, ser verdadeira.
online com mais
Cada vez mais empresas e grandes corporaes esto deixando de tentar dar segurana aos
frequncia...
dispositivos e comeam a dar mais nfase na segurana de suas identidades. O BYOD Bring
Your Own Device ou traga seu prprio dispositivo est em alta, mas as polticas de segurana
deixaram de estar amarradas aos dispositivos e passam a estar amarradas com a combinao
de usurio, aplicao e dados sendo acessados. um passo natural para as empresas, pois seus
colaboradores utilizam uma srie de diferentes dispositivos para trabalhar. Esse conceito, com
certeza, garante uma melhor acessibilidade e experincia de usurio.
23
Atualmente os consumidores tambm esto informados e bem cautelosos em questo de suas
informaes, esto mais seletivos quanto ao tipo de informao que permitem ser analisado pela
empresa. O outro lado desta histria que exercero sobre elas mais presso para adoo de
medidas de segurana da informao mais robustas. Podemos citar que o ano de 2015 viu um
aumento indito de ataques cibernticos e com vrios tipos de alvos sem seguir algum padro
lgico e frequentemente os dados dos clientes das corporaes e organizaes que sofreram estas
violaes caem em mos perigosas.
24
8. Segurana
da Informao
como diferencial
competitivo
25
O meio empresarial nos obriga a lidar com uma imensa camada
de informaes, e, por isso, precisamos estar atentos a vrias
situaes que nos cercam. Podemos citar como referncia o
grande aumento no nmero de ataques cibernticos ocorridos
em vrias empresas e a quantidade de vrus e outras ameaas
criadas nestes ltimos anos para estes fins.
Por essas e tantas outras razes, as organizaes devem reforar ainda mais a sua poltica de O planejamento
segurana. Ela, quando implementada na infraestrutura, conseguir evitar sem problemas que
e gerenciamento
possveis invases aconteam por meio de avisos de segurana que sero detectadas nos sistemas
de informao da organizao. das informaes
O cliente, a partir do momento em que estiver que escolher servios prestados por diferentes
ficam mais
empresas onde o foco e a preocupao forem prioritariamente a segurana certamente compactos...
escolher aquela que realmente tem zelo pela segurana das informaes.
26
Em curto perodo de tempo, os principais benefcios alcanados so as formalizaes e
documentaes dos procedimentos adotados pela organizao como: preveno de acessos
no autorizados, implementao de novos procedimentos, a aquisio de maior segurana nos
processos do negcio, etc.; A mdio prazo, os benefcios so as padronizaes dos procedimentos
de segurana incorporados pela organizao na sua rotina, onde podem passar por melhorias,
reformulaes e afins.
27
9. Estratgia de
Negcios baseada
em Segurana
da Informao
existe?
28
So frequentes as informaes sobre empresas enfrentando
dificuldades relacionadas a ataques cibernticos, e o
comprometimento de dados cruciais e valiosos para o negcio,
por meio desses ataques, tornou-se comum e so diversos os
fatores que esto garantindo ou colaborando para o sucesso dos Os ataques
crackers. cibernticos se
aproximam ou
O que apenas algumas poucas empresas tm observado so os mecanismos e vetores utilizados
para garantir o sucesso desses ataques, alm do perfil detalhado dos seus atacantes. Esses so tiram vantagem
dois conjuntos de informaes simples que geralmente so despercebidas em comparao com de pontos que
o impacto causado, mas que fornecem subsdios preciosos para aqueles que esto na busca de nem sempre
mecanismos de segurana avanados e, sobretudo adequados aos seus negcios.
so de fcil
Fazendo uma anlise dessas informaes, conseguimos listar e observar que em diversos aspectos, mensurao.
esses ataques cibernticos se aproximam ou tiram vantagem de pontos que nem sempre so
de fcil mensurao, como a confiana humana, por exemplo. Talvez esse seja o aspecto mais
explorado na atualidade, devido regra bsica de Esforo e Recompensa que rege no s as
empresas que sofrem com os ataques, mas tambm os interessados em obter algum tipo de
vantagem com os dados ou informaes capturadas.
29
Alm disso podemos citar as tcnicas de Engenharia Social, onde algum faz uso da persuaso,
muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que
podem ser utilizadas para ter acesso no autorizado a computadores ou informaes nas quais a
mesma no era destinada.
A contrapartida que algumas medidas tecnolgicas simples podem tratar o aspecto de confiana
humana, como um cofre de senhas, campanhas de conscientizao contra phishing, polticas de
permisses e autorizaes devidamente estabelecidas. Essas medidas conseguem reduzir ou at
mesmo restringir os danos causados pelos ataques que exploram o aspecto de confiana humana.
Nesse processo de evoluo e avanos tecnolgicos, os ataques esto se tornando mais sofisticados,
eficientes e discretos. Exemplos no faltam e podemos listar o mais recente e talvez um dos mais
significativos deles, onde a China e os Estados Unidos realizaram um pacto de no atacar um ao
outro, entretanto, so claras as evidncias de que os ataques continuam e passaram a seguir a
regra no seja apanhado, j que o atacante definitivamente ser punido.
Dessa maneira, cria-se uma complexidade notvel da situao. Da mesma forma que essas
ferramentas aplicadas nesses tipos de ataques esto sendo utilizadas contra empresas, governos
e pessoas, as contramedidas tecnolgicas tornaram-se mais do que uma exigncia, observando e
atuando sobre diversos componentes das empresas para detectar e mitigar esses ataques.
Nos prximos anos e que, pelo ritmo das evolues e adventos tecnolgicos na atualidade
vamos observar o aumento da extorso atravs dos crimes digitais e a contrapartida que,
identificar os modelos de ataque e tratar os mesmos de forma adequada depender, sobretudo,
das tecnologias, processos e pessoas. Essa trade que determinar a velocidade do movimento
de resposta e fornecer, principalmente, agilidade para vencer este jogo.
30
A Segurana da Informao deixou definitivamente de ser um complemento e tornou-se
parte integrante da estratgia de sucesso das empresas e assim como anlises, planejamentos,
consultorias, deteco de falhas, atualizaes e testes ocorrem nas demais unidades de negcio
das instituies. A mesma preocupao e exerccios devem ocorrer com a segurana da informao.
31
Nesse sentido, abordar a prtica de Segurana da Informao significa implementar mecanismos
e ferramentas de segurana que se fundamentem nos seguintes princpios:
O princpio da Confidencialidade;
O princpio da Disponibilidade;
O princpio da Integridade;
O princpio da Autenticidade;
O princpio da Legalidade;
O princpio da Auditabilidade;
32
A implementao da prtica de Segurana da Informao no mbito da organizao como
estratgia de negcio compreende uma sequncia de pequenas aes que so importantes
e indispensveis.
Depois da execuo das aes emergenciais, faz-se necessrio promover a elaborao da Poltica
e das Diretrizes de Segurana da Informao, que nada mais que a caracterizao do conjunto
33
de princpios, valores e propsitos da organizao envolvida, traduzidos em regras especficas e de fcil
entendimento para proteger as informaes que so de sua propriedade ou que esto sob sua responsabilidade.
Este documento deve ser fundamentado nas normas internacionais, reguladas por organismos de alto
reconhecimento, competentes e aceitos pela comunidade de Tecnologia e Segurana da Informao, assim
como nos principais mecanismos de segurana utilizados e aplicados no mbito dessa comunidade e nas
ferramentas que encontram-se disponveis no mercado.
Durante a realizao desses trabalhos que promovem a implementao da prtica de Segurana da Informao
na organizao, deve-se realizar a atividade mais importante dessa empreitada: a conscientizao das
pessoas. E como realizado essa conscientizao de maneira clara e que atinja a todos os nveis hierrquicos
de maneira igual, onde cada um saiba de suas responsabilidades como colaboradores? Atravs de programas
de treinamento e desenvolvimento de pessoal.
Estes treinamentos tambm podem ser destinados todos os stakeholders prestadores de servios e
fornecedores para que possam compreender a importncia, a necessidade do engajamento de todos nesta
causa comum e do comprometimento com a prtica efetiva de Segurana da Informao.
34
Muitas premissas podem ser atingidas com a criao e desenvolvimento de normas,
mecanismos e ferramentas de segurana, porm, sem o engajamento de todas
as partes envolvidas, os resultados podem no ser atingidos como esperado.
A partir disso, pode-se considerar implementada a prtica de Segurana da Informao na
organizao. Resta agora fazer o gerenciamento, manuteno e atualizao constante daquilo
que foi implementado.
35
Consideraes
Finais
36
A Segurana da Informao deixou de ser apenas um adicional
para os nossos meios eletrnicos. Hoje ela se tornou mais do
que essencial. Com os avanos tecnolgicos, nossas informaes
e muitas outras esto acessveis a qualquer momento e para
qualquer parte do mundo sendo que, em muitas vezes, no nos
damos conta.
E isso tambm j deixou de ser apenas um cuidado pessoal, se tornou um mbito empresarial.
A Tecnologia da Informao possibilitou muitas facilidades e comodidades em aspectos de Estamos na era da
comunicao integrada e sistemas informatizados para empresas fornecedores, prestadores de informao...
servios e todos os stakeholders envolvidos, independente dos nveis hierrquicos que variam
de empresa para empresa. Atualmente, muitas empresas investem em ferramentas e aplicaes,
chegando a ter uma estratgia de negcios parcialmente ou totalmente voltadas para a Segurana
da Informao, onde so formuladas polticas que sejam de fcil compreenso todos e que tenham
aplicabilidade. Alm disso, as empresas de tecnologia garantem um diferencial competitivo para
seus clientes por manterem seus dados a salvo e livres de ameaas e vulnerabilidades.
37
As estratgias com a finalidade de atingir o nvel de segurana da informao que satisfaa as
necessidades nas empresas, se bem formuladas, conseguem timos resultados. Porm, sem
uma conscientizao dos colaboradores sobre a importncia da Segurana da Informao e a
aplicao das prticas e normas que forem estabelecidas, os timos resultados demoraro a serem
alcanados.
38
Fundada em 1995 a AllEasy oferece o que h de melhor em servios de tecnologia,
com solues reais para necessidades reais.
Nos orgulhamos pelo relacionamento que mantemos com nossos clientes, pois sabemos
que o significado de relacionar entender e entregar as melhores ferramentas e
recomendaes do mercado.
Conhea a AllEasy